310 likes | 491 Views
Point-to-Point Protocol (PPP). Accessing the WAN – Chapter 2. Objectives. PPP concepts Configur ation of PPP PPP authentication. Introduction. Configure PPP with PAP for the Cisco CCNA https://www.youtube.com/watch?v=weOirQq27xE. Introduction. PPP PAP CHAP
E N D
Point-to-Point Protocol (PPP) Accessing the WAN– Chapter 2
Objectives • PPP concepts • Configuration of PPP • PPP authentication
Introduction Configure PPP with PAP for the Cisco CCNA https://www.youtube.com/watch?v=weOirQq27xE
Introduction PPP PAP CHAP authenticate, authentication username and password communicate, communication interface goes down encapsulation question mark 172.16.0.1 [one seven two dot ...] global config mode sent-username [... dash ...] serial 2/0 [... slash...] What I am going to do is ...
Concepts of PPP Serial Communication • Serial communication = basis of WAN technologies Přenos po osmi drátech není 8x rychlejší než po jednom. Při paralelním přenosu jsou problémy s nesoučasným příchodem bitů a se vzájemným rušením mezi dráty. Proto sériové propojení vychází výhodnější – viz srovnání mezi PCI a PCI-Ex.
Concepts of PPP Serial Communication Transporting more data streams across a single physical connection TDM = Time Division Multiplexing Synchronní multiplex: Každý kanál má vyhrazený časový úsek. Když ho využije, dobře. Když ne, je to škoda, přenosová cesta zůstává pro tento časový úsek nevyužitá. Statistický (asynchronní) multiplex: Kanály mohou svoje data dávat do přenosové cesty kdykoliv, když je volno => lepší využití cesty. Aby v cíli bylo jasné, která data komu patří, každý balíček musí být označen identifikátorem. TDM patří do vrstvy 1 – fyzické, na úroveň kabelů a konektorů. Neboli protokolům na vrstvě 2 a 3 je jedno, jak budou data cestou multiplexována a s čím.
Concepts of PPP Serial Communication • Location of the demarcation point V Americe dostává zákazník více důvěry a odpovědnosti, DCE má na starost on. V jiných zemích (i u nás) všechno až po DCE včetně patří poskytovateli. Demarkační linie ve vojenství: Čára, na které se setkají dvě (nepřátelské) armády a dohodnou se, že na sebe zatím nebudou střílet.
Concepts of PPP Serial Communication Máme-li spojit dva směrovače prostřednictvím poskytovatele, připojíme rozhraní DTE na směrovači kabelem (např. V.35) k rozhraní DCE. Ten přenese data do sítě poskytovatele. Na druhém konci druhý DCE předá data po druhém kabelu druhému DTE. • DTE and DCE V učebně nemáme poskytovatele, vynecháváme proto DCE – oblak – DCE a oba směrovače propojíme přímo kabelem V.35. Jeden ze směrovačů musí hrát roli DCE, aby do linky někdo dodával hodiny. Můžeme si pamatovat DCE - C jako Clock = hodiny, i když to ve skutečnosti znamená C jako Communications.
Concepts of PPP Serial Communication • WAN Encapsulation Protocols
Concepts of PPP Serial Communication HDLC= High-Level Data Link Control • Configure HDLC encapsulation Buď • Nebo • neudělat nic, nebo • # no encapsulation ppp • protože HDLC je (pro Cisco) default.
Concepts of PPP Serial Communication • Troubleshooting a serial connection Zjednodušeně řečeno: Zde je problém v HW, .... ... a zde v nastavení. Problém fyzický, .... ... logický.
Point-to-Point Concepts • (Cisco) HDLC = High-Level Data Link Control je jednoduchý protokol na vrstvě 2 (Data Link) pro spojení mezi dvěma body. Původní verze není Cisco proprietary. Cisco ale používá svoji vlastní verzi, která je Cisco proprietary => nefunguje na zařízeních jiných výrobců. HDLC neumí některé věci, které umí PPP (viz dále). Proč ho tedy používat? Asi proto, že je na Cisco zařízeních default. • PPP umí navíc: • Link quality management - hlídá kvalitu linky • PAP and CHAP authentication – dva druhy ověřování totožnosti • PPP má tři složky: • HDLC protokol pro zapouzdření (encapsulation) datagramů na point-to-point linkách • LCP = Link Control Protocol pro řízení spojení přes datové linky • NCPs = Network Control Protocols pro spolupráci s různými protokoly síťové vrstvy, např. IPCP = IP Control Protocol, Novell IPX Control Protocol • Using PPP in WAN links PPP používá původní HDLC pro zapouzdření Cisco HDLC
Point-to-Point Concepts • Using PPP in WAN links Oba protokoly, PPP i Cisco HDLC, obsahují HDLC plus něco navíc: PPP = HDLC + kvalita linky + ověřování totožnosti HDLC Cisco HDLC = HDLC + drobné úpravy
Point-to-Point Concepts • Layers of PPP architecture • Ve své nejnižší vrstvě PPP spolupracuje s fyzickými médii • synchronními • (např. RS-232-C, V.35) • asynchronními • (např. vytáčený modem)
Point-to-Point Concepts • Layers of PPP architecture • Ve své prostřední vrstvě se PPP stará např. o • ověřování totožnosti (authentication) • kontrolu chyb v datagramech
Point-to-Point Concepts • Layers of PPP architecture V horní vrstvě PPP spolupracuje s protokoly síťové vrstvy. Pro každý z nich má svůj NCP = Network Control Protocol, např.
Point-to-Point Concepts • PPP frame 01111110 Označuje začátek rámce. 00000011 Frame Check Sequence = kontrolní součet. Když nevyjde, rámec se potichu zahodí. 11111111 Při spojení dvou bodů (PPP = Point to Point Protocol) adresa nemá význam. Proto se dává samé jedničky, tj. broadcast. Když se oba konce domluví, může se úplně vynechat. Označení protokolu, který je přenášen v části „Data“, např. IP, IPX, IPCP, IPXCP, LCP a mnoho dalších. Přenášená data. Délka je předem dohodnuta v úvodním dialogu. Délka celého rámce je maximálně 65535, default 1500.
Point-to-Point Concepts • Three phases of PPP session establishment 1. Vytvoření linky, dohadování o konfiguraci spojení 2. Zjištění kvality linky, jestli je schopná přenášet protokoly síťové vrstvy 3. LCP předává řízení NCP = Network Control Protocol • LCP ukončí spojení, když např. • některý router požádá o ukončení • zmizí carrier = hodinový signál • uplynula nastavená doba nečinnosti Všechny akce tady popsané dělá LCP = Link Control Protocol
Point-to-Point Concepts LCP vytvoří a konfiguruje linku postupem popsaným na předchozím snímku. • Characteristics of NCP Řízení převezme NCP (zde např. IPCP) a připraví konfiguraci pro síťový protokol (zde např. IP). Síťový protokol (zde např. IP) přenáší data. Kvůli této fázi to všechno děláme. Síťový protokol (IP) přijal požadavek na ukončení, tak ho NCP (IPCP) předá druhé straně. Tím se ukončí IP spojení. LCP rozpojí linku.
Configure PPP on a Serial Interface • Commands to configure PPP R3#configure terminal R3(config)#interface serial 0/0/0 R3(config-if)#encapsulation ppp Než začneme takto konfigurovat PPP, musí už být na routeru nastavený směrovací protokol. Kdybychom tuto konfiguraci neudělali, tak na Cisco routeru je nastaveno default encapsulation (zapouzdření) HDLC.
Configure PPP on a Serial Interface • Commands to verify PPP
Configure PPP on a Serial Interface • Commands to configure and verify PPP
Configuring PPP with Authentication PAP posílá jméno a heslo otevřeným textem. Útočník je může vyčenichat (třeba programem WireShark). Může to zkoušet donekonečna, dokud neuhodne heslo. • PAP and CHAP CHAP posílá jméno a heslo šifrované. Útočník je nemůže snadno vyčenichat. Může to zkusit, jen když ho šéf vyzve.
Configuring PPP with Authentication Tento obrázek (z předchozího snímku) asi není dobře. V protokolu CHAP každý posílá jako username svoje vlastní jméno. • PAP and CHAP Proto ten vlevo by měl posílat „Mountain Sky“ a očekávat „Service Center“, a ne „school“. Ten vpravo by měl posílat „Service Center “a očekávat „Mountain Sky“, a ne „school“.
Configuring PPP with Authentication R1 se bude bavit s tím, kdo mu pošle tuto kombinaci. R3 se bude bavit s tím, kdo mu pošle tuto kombinaci. Těchto řádků může být víc, pro každý interface jeden. Pozor, v učebně na DCE konci musí být příkaz clock rate, i když tady není uveden. Při navazování spojení na tomto rozhraní serial 0/0/0 se hlas touto kombinací jméno – heslo.
Configuring PPP with Authentication Pozor, v učebně na DCE konci musí být příkaz clock rate, i když tady není uveden. Heslo může být pro každý směr komunikace různé. Jmenuji se R1, ale když se na tom domluvíme, mohl bych zasílat sent-username úplně jiné (narozdíl od CHAP).
Configuring PPP with Authentication Pozor, v učebně na DCE konci musí být příkaz clock rate, i když tady není uveden. Heslo musí být pro oba směry komunikace stejné, ... ... proto se tady už neuvádí. Zasílané jméno se shoduje se skutečným jménem routeru (např. R1), proto se tady už neuvádí.
Configuring PPP with Authentication • PAP and CHAP Shrnutí PAP: Pro každý směr komunikace může být dohodnuté jiné heslo i username. CHAP: Pro oba směry komunikace je jen jedno heslo. Username se nedohadují, jsou dány pojmenováním routerů.
Summary • PPP is a widely used WAN protocol • PPP provides multi-protocol LAN to WAN connections • PPP session establishment – 4 phases • Link establishment • Link quality determination • Network layer protocol configuration negotiation • Link termination • WAN Encapsulation • HDLC default encapsulation • PPP
Summary • PPP authentication • PAP: 2 way handshake • CHAP: 3 way handshake • PPP configuration • Done on a serial interface • show interfaces command to display: • LCP state • NCP state